華為云在每個角落播撒信任 安全之花如何盛開在華為云空間的每個角落？

移動互聯(lián)時代的到來，讓數(shù)字居民不斷擴(kuò)容，在物理世界和數(shù)字世界之間頻繁往來。個人云存儲服務(wù)，也就成了萌發(fā)數(shù)字生活的種子，破土發(fā)芽而最終成長為連接物理與數(shù)字兩個空間的藤蔓。

個人云存儲服務(wù)，從你我的硬件終端設(shè)備連接著數(shù)字新世界。數(shù)據(jù)自動備份，手機(jī)、PC、平板多設(shè)備無感同步，文件輕松存儲，云盤上傳下載不限速……一旦體驗過云端生活的方便快捷，相信大部分人都會選擇拋棄硬盤和U盤，再也回不去從前了。本世紀(jì)初，蘋果、谷歌、微軟等巨頭就相繼推出了面向個人的云存儲服務(wù)，Dropbox更是憑借個人云存儲服務(wù)，成為最有價值的創(chuàng)業(yè)公司之一。終端設(shè)備覆蓋全球市場和用戶的華為，也通過華為云空間來提供個人云存儲服務(wù)。

但是，使用個人云存儲服務(wù)的人大多都會對數(shù)據(jù)安全感到擔(dān)憂。

便捷性與安全性的矛盾，成為更多移動終端用戶擁抱云存儲的主要顧慮。

當(dāng)然了，矛盾也意味著機(jī)會。在行業(yè)普遍沒能交出滿意答卷的時候，掌握了技術(shù)優(yōu)勢的廠商，或許能夠率先撬動市場。

憑借華為在全球范圍內(nèi)領(lǐng)先的技術(shù)優(yōu)勢，華為云空間在數(shù)據(jù)安全上表現(xiàn)得尤為不同。

今天，我們從一顆安全的種子說起，聊聊云存儲如何才能保證個人數(shù)據(jù)的安全無虞。

萌芽：根植深處的安全理念

對于絕大多數(shù)消費者來說，相信品牌的力量，是選擇個人云存儲服務(wù)最簡單有效的方法。頭部科技企業(yè)站在市場和監(jiān)管的聚光燈下，往往更加愛惜羽毛，對數(shù)據(jù)安全更加重視。

多年深耕終端消費者業(yè)務(wù)的華為，將用戶數(shù)據(jù)安全與隱私保護(hù)放在了首位。

企業(yè)文化層面，網(wǎng)絡(luò)安全和隱私保護(hù)是華為公司的最高綱領(lǐng)，置于整個公司的商業(yè)利益之上。提出了消費者業(yè)務(wù)安全與隱私保護(hù)的“四大主張”和“三大承諾”，其中就包括數(shù)據(jù)層層加密，未經(jīng)允許任何人無法訪問；每一步信息都由用戶全權(quán)掌控。

系統(tǒng)軟硬件層面，圍繞硬件、OS搭建起系統(tǒng)級數(shù)據(jù)保護(hù)能力。結(jié)合華為在軟硬件系統(tǒng)的底層技術(shù)創(chuàng)新，數(shù)據(jù)服務(wù)與應(yīng)用可以與硬件系統(tǒng)相互協(xié)作，在端云一體的土壤上打造更堅實的防護(hù)壁壘。

云存儲應(yīng)用層面，華為云空間也將數(shù)據(jù)安全作為產(chǎn)品設(shè)計的基石。早在2019年華為發(fā)布的國內(nèi)首個云隱私保護(hù)白皮書中，就提到未經(jīng)用戶授權(quán)，任何人無法獲取和解密存儲在華為云空間的用戶數(shù)據(jù)。

將安全理念層層融入到了企業(yè)文化、系統(tǒng)軟硬件、云存儲服務(wù)之中，華為為數(shù)據(jù)保護(hù)奠定了良好的土壤，自然能讓安全這顆種子真正萌芽。

生長：在每個角落播撒信任

有了生長發(fā)展的前提條件，到底怎樣做才能確保使用個人云存儲服務(wù)時，數(shù)據(jù)足夠安全不會泄露呢？

云存儲上的大多數(shù)威脅都是因密碼薄弱而導(dǎo)致的，華為云空間是站在真實的用戶視角，去思考數(shù)據(jù)安全這件事。

試想一下，如果你突然多了一大筆金銀財寶（個人數(shù)據(jù)），會怎么保存它們呢？常規(guī)思維是立馬找一家安保機(jī)構(gòu)（云存儲平臺）存起來。

問題來了，對方看到一堆值錢大寶貝，會不會利欲熏心、監(jiān)守自盜？

我們假設(shè)所有安保機(jī)構(gòu)未經(jīng)驗證之前都不可信任（零信任），在把金銀財寶（數(shù)據(jù)）存安保機(jī)構(gòu)之前，得用保險箱鎖起來，誰都不知道里面有什么，誰要看都得先問問你。要把主動權(quán)全部拿捏在自己手里，這時候就需要——端側(cè)加密。

在數(shù)據(jù)上傳之前，云空間就會在設(shè)備端進(jìn)行特殊的加密處理，并且整個上鎖生成密鑰的過程，云空間這家“安保機(jī)構(gòu)”自己也得避嫌，由KMS（Key Management Service）來完成。

KMS這個密鑰管理專家，可以說是技術(shù)過硬，采用國際標(biāo)準(zhǔn)或業(yè)界通用的安全算法(如 AES、RSA、SHA256 等)；工具先進(jìn)，使用具備物理防篡改能力的硬件加密機(jī)來生成專用密碼，安全性達(dá)到業(yè)界領(lǐng)先水平；服務(wù)到位，KMS對于密鑰、證書、授權(quán)認(rèn)證的管理也有嚴(yán)格的流程，防止未授權(quán)人員讀取，對一切想看你保險箱的人鐵面無私。

有了KMS的參與，咱們可以確信，沒有任何人可以訪問你的數(shù)據(jù)，華為云空間這樣的個人云存儲服務(wù)商自己也不能。

接下來，就該把保險箱送到安保機(jī)構(gòu)了?？墒巧l(fā)著誘人氣息的數(shù)據(jù)“包裹”，一路上得招不少賊人惦記，其中不乏藝高人膽大的頂級黑客，而個人數(shù)據(jù)一旦被人中途截獲、偷窺或者篡改，那可是遺患無窮。

為了保證用戶金主們的數(shù)據(jù)“包裹”能安全抵達(dá)，華為云空間采用HTTPS 加密通道，專門承接云空間手機(jī)端、PC端、Web端與服務(wù)器之間的傳輸業(yè)務(wù)。

而HTTPS這家”數(shù)據(jù)物流公司“之前專門服務(wù)的是網(wǎng)銀、銀行這類要求極其嚴(yán)苛的大客戶，安全意識自然是業(yè)界一流：

發(fā)“包裹”之前，先得查看數(shù)字證書進(jìn)行身份認(rèn)證，確定是你本人寄，才給你發(fā)一個臨時密鑰作為傳輸通行證。

傳輸途中，會用密鑰算法對數(shù)據(jù)進(jìn)行層層加密封裝、花式打包，確保嚴(yán)嚴(yán)實實誰都看不出里面裝了啥；

抵達(dá)服務(wù)器之后，還得進(jìn)行一次身份認(rèn)證，確定是你本人來存，放著金銀財寶的保險箱才私密又完好無缺地抵達(dá)你想存的地方。

好不容易到了安保機(jī)構(gòu)，是不是把保險箱放下就大功告成了？別急，萬一對方直接將你的數(shù)據(jù)放在云上任人圍觀呢？云存儲的安保體系也必須認(rèn)真考察一番。

存儲數(shù)據(jù)時，云空間會將每個文件打散成幾個區(qū)塊，每個區(qū)塊加密后上傳服務(wù)器；被打散的密文區(qū)塊，也不會跟用戶密鑰存在同一服務(wù)器中，這樣即使其中一個被非法獲取，數(shù)據(jù)也無法被破解。

經(jīng)過這么一番操作，你的數(shù)據(jù)可算是安心存好了。但產(chǎn)生的密鑰就像一張張存單，既不能丟失（取時要用），又擔(dān)心被盜（受到攻擊）。

為了密鑰“存單”的安全，華為云空間也設(shè)置了應(yīng)對方案——

1.綁定：加密數(shù)據(jù)的密鑰，還會被華為帳號的用戶密鑰加密，然后上傳到云空間服務(wù)器，二者相互綁定，想要取出金銀財寶的同時拿兩個存折交叉驗證，安全性自然大大提升。

2.隔離：密鑰也不能全部存在一起，萬一進(jìn)了小偷直接全軍覆沒，所以云端的用戶密鑰都必須單獨存儲，隔離管控。密鑰和數(shù)據(jù)也要分開管理，不能放在同一個服務(wù)器上。這樣就有效分散了安全風(fēng)險。

至此，華為云空間通過加密技術(shù)打造了銅墻鐵壁，也取得了用戶對平臺的信任。但別忘了，數(shù)據(jù)安全是一個永無止境的攻防戰(zhàn)，在面對”天災(zāi)人禍“等安全隱患時，則要有勇有謀地作斗爭。

所謂人禍，是防止有心之人/應(yīng)用對用戶數(shù)據(jù)的違規(guī)獲取。

1.防偽裝：以華為云空間為例，就要先去KMS獲取用戶級密鑰，再通過用戶級密鑰獲得文件密鑰，用文件密鑰解密密文，才能解鎖明文數(shù)據(jù)，確保數(shù)據(jù)解密只能由用戶本人觸發(fā)。

2.防泄露：云服務(wù)意味著你的數(shù)據(jù)可能和別人的數(shù)據(jù)共享一塊地方，為此，華為云空間針對不同租戶數(shù)據(jù)存儲隔離，不同租戶的數(shù)據(jù)之間都不挨著，互不影響，別人取金銀財寶的時候根本看不到你的，最大程度地保證了數(shù)據(jù)私密性。

3.防窺視：不少手機(jī)用戶都有過數(shù)字足跡被偷窺的經(jīng)歷，剛在社交軟件上跟人聊完新衣服，轉(zhuǎn)頭輸入法應(yīng)用就將這事兒告訴電商平臺推送同款，著實令人不寒而栗。為了避免推理分析導(dǎo)致的隱私泄露，華為云空間將不同應(yīng)用產(chǎn)生的數(shù)據(jù)用物理手段隔離，存放在不同的服務(wù)器上，服務(wù)器A上的應(yīng)用根本看不到服務(wù)器B上的應(yīng)用數(shù)據(jù)，自然最安全。

同一應(yīng)用的不同用戶數(shù)據(jù)，如果放在同一個服務(wù)器上，華為云空間可以做到對不同用戶數(shù)據(jù)進(jìn)行邏輯隔離，每個用戶只能訪問自己的目錄。

所謂天災(zāi)，是防止意外事件對云端數(shù)據(jù)造成的損失。

云服務(wù)商往往會將大家的數(shù)據(jù)存放在由大量服務(wù)器集群構(gòu)成的數(shù)據(jù)中心里，物理設(shè)施難免會受到自然災(zāi)害、斷電斷網(wǎng)等意外事故的影響。

解決方法就是避免將雞蛋放在一個籃子里，將個人用戶數(shù)據(jù)存放在數(shù)據(jù)中心的多個可用區(qū)AZ上，這些可用區(qū)的電力和網(wǎng)絡(luò)相互獨立，當(dāng)一個可用區(qū)出現(xiàn)故障，服務(wù)可以在短時間里快速切換到另一個可用區(qū)，從而保障數(shù)據(jù)不丟失、服務(wù)不中斷。以云空間為例，就將數(shù)據(jù)存放在支持多AZ的華為云數(shù)據(jù)中心，雖然運(yùn)維成本更高，卻能最大程度地確保用戶數(shù)據(jù)的安全性與可用性。

至此，個人數(shù)據(jù)的“藏寶之路“圓滿告一段落。

梳理華為云空間的技術(shù)能力會發(fā)現(xiàn)，個人數(shù)據(jù)安全不會憑空而來，唯有在每一個關(guān)鍵環(huán)節(jié)想用戶所想，用有力的技術(shù)勾勒未來，用細(xì)致的產(chǎn)品服務(wù)當(dāng)下，才最終孕育出枝繁葉茂的云端數(shù)字生活。

結(jié)果：共赴云端的安全盛宴

個人云存儲市場發(fā)展到現(xiàn)在，華為再次提供了一個時代樣本：如果數(shù)據(jù)安全要成為云存儲的基石，需要完成哪些戰(zhàn)略動作。

1.安全是生命線。

對于個人來說，無論免費存儲還是付費存儲，安全都是他們最關(guān)心的事情。從國家的角度來看，中國、美國、歐盟都有數(shù)據(jù)保護(hù)的法律體系，歐盟GDPR、中國三法聯(lián)動（《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護(hù)法》），這決定了未來只有將隱私安全視作底線的廠商才能生存。

將數(shù)據(jù)安全刻進(jìn)DNA的華為云空間，也因此獲得了消費者真金白銀的認(rèn)可，截至2021年，華為云空間全球月活用戶數(shù)達(dá)到3.5億，付費用戶數(shù)同比增長了50%?？梢韵胍?，隨著數(shù)字生活覆蓋越來越多的人群，對個人數(shù)據(jù)安全的重視也將推動華為云空間的進(jìn)一步增長。

2.技術(shù)是核心。

華為云空間在全球范圍內(nèi)收獲數(shù)據(jù)安全領(lǐng)域的認(rèn)可，本質(zhì)上是依靠突出的技術(shù)能力，在日益嚴(yán)峻的數(shù)字威脅下，有力地守護(hù)了用戶的數(shù)據(jù)資產(chǎn)安全。

在海外，通過了基于歐盟數(shù)據(jù)保護(hù)法律的ISO27018認(rèn)證，能夠有效保護(hù)云用戶個人可識別信息PII；憑借在信息安全管理體系上的合規(guī)性和高標(biāo)準(zhǔn)，通過了C-STAR 云安全國際認(rèn)證；在國內(nèi)，也獲得了公安部頒發(fā)的信息系統(tǒng)安全等級保護(hù)三級認(rèn)證，這也是目前國內(nèi)對非銀行機(jī)構(gòu)信息系統(tǒng)安全的最高級認(rèn)證證明。

3.生態(tài)是前提。

網(wǎng)絡(luò)威脅是一場永不停歇的攻防戰(zhàn)，因此，數(shù)據(jù)安全也不是一個企業(yè)能夠獨自解決和應(yīng)對的。尤其是在萬物智聯(lián)的背景下，新型威脅層出不窮，安全可信的數(shù)字生活必須發(fā)揮生態(tài)的力量。

以華為為例，就通過生態(tài)建設(shè)來調(diào)動多方參與共建數(shù)字安全的積極性。面向開發(fā)者，華為開放HMS的安全與隱私保護(hù)能力，共建 1+8+N 全場景安全；面向第三方機(jī)構(gòu)，構(gòu)建獨立的安全驗證體系，檢驗產(chǎn)品和服務(wù)的安全與隱私保護(hù)能力。

當(dāng)用戶的信任，播撒到數(shù)字生活的每一個角落，生機(jī)蓬勃的個人云存儲服務(wù)正在生長。